นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Ahnlab ได้ค้นพบว่ากลุ่มภัยคุกคามของเกาหลีเหนือใช้ไฟล์ที่เป็นอันตรายในการกำจัดจี้และให้สิทธิ์การเข้าถึงบัญชี Windows ที่มีอำนาจต่ำ
ตามที่นักวิจัยของ ASEC ศูนย์ข่าวกรองความปลอดภัยของ Ahnlab กลุ่มแฮ็คที่อยู่เบื้องหลังการโจมตีคือกลุ่มภัยคุกคาม“ Andariel” ซึ่งเชื่อมโยงกับกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือ
“ RID Hijacking เป็นเทคนิคการโจมตีที่เกี่ยวข้องกับการปรับเปลี่ยนค่า RID ของบัญชีที่มีสิทธิ์ต่ำเช่นผู้ใช้ปกติหรือบัญชีแขกเพื่อให้ตรงกับค่า RID ของบัญชีที่มีสิทธิ์สูงกว่า (ผู้ดูแลระบบ) โดยการปรับเปลี่ยนค่า RID นักแสดงภัยคุกคามสามารถหลอกลวงระบบในการปฏิบัติต่อบัญชีว่ามีสิทธิ์ของผู้ดูแลระบบ” Ahnlabเขียนในบล็อกโพสต์ที่เผยแพร่เมื่อวันพฤหัสบดี
ใน Windows ตัวระบุสัมพัทธ์ (RID) เป็นส่วนหนึ่งของตัวระบุความปลอดภัย (SID) ซึ่งแยกความแตกต่างโดยเฉพาะผู้ใช้และกลุ่มภายในโดเมน ตัวอย่างเช่นบัญชีผู้ดูแลระบบจะมีค่ากำจัด“ 500”,“ 501” สำหรับบัญชีแขก,“ 512” สำหรับกลุ่มผู้ดูแลระบบโดเมนและสำหรับผู้ใช้ทั่วไป RID จะเริ่มต้นจากค่า“ 1,000”
ในการโจมตีการจี้ RID แฮ็กเกอร์เปลี่ยนการกำจัดบัญชีที่มีอำนาจต่ำเป็นค่าเดียวกับบัญชีผู้ดูแลระบบ เป็นผลให้ Windows มอบสิทธิพิเศษในการดูแลระบบให้กับบัญชี
อย่างไรก็ตามในการดึงสิ่งนี้ออกผู้โจมตีจำเป็นต้องเข้าถึงรีจิสทรี SAM (ผู้จัดการบัญชีความปลอดภัย) ซึ่งต้องการให้พวกเขามีการเข้าถึงระดับระบบไปยังเครื่องเป้าหมายเพื่อการปรับเปลี่ยน
โดยทั่วไปแล้วผู้โจมตีจะใช้เครื่องมือเช่น PSEXEC และ Juicypotato เพื่อเพิ่มสิทธิพิเศษและเรียกใช้พรอมต์คำสั่งระดับระบบ
ในขณะที่การเข้าถึงระบบเป็นสิทธิ์สูงสุดใน Windows แต่ก็มีข้อ จำกัด บางประการ: ไม่อนุญาตให้เข้าถึงระยะไกลไม่สามารถโต้ตอบกับแอพ GUI สร้างกิจกรรมที่มีเสียงดังที่สามารถตรวจพบได้ง่ายและไม่คงอยู่หลังจากรีบูตระบบ
ในการแก้ไขปัญหาเหล่านี้ Andariel ได้สร้างบัญชีผู้ใช้ท้องถิ่นที่ซ่อนเร้นและมีอำนาจต่ำโดยการต่อท้ายอักขระ“ $” เข้ากับชื่อผู้ใช้
สิ่งนี้ทำให้บัญชีมองไม่เห็นในรายชื่อปกติ แต่ยังสามารถเข้าถึงได้ใน SAM Registry จากนั้นผู้โจมตีได้ทำการจี้จี้เพื่อเพิ่มสิทธิพิเศษของบัญชีไปยังระดับผู้ดูแลระบบ
จากข้อมูลของนักวิจัย Andariel ได้เพิ่มบัญชีที่ได้รับการแก้ไขให้กับผู้ใช้เดสก์ท็อประยะไกลและกลุ่มผู้ดูแลระบบทำให้พวกเขาควบคุมระบบได้มากขึ้น
กลุ่มปรับแต่งรีจิสทรี SAM โดยใช้มัลแวร์แบบกำหนดเองและเครื่องมือโอเพนซอร์ซเพื่อดำเนินการจี้ RID
แม้ว่าการเข้าถึงระบบจะช่วยให้การสร้างบัญชีผู้ดูแลระบบโดยตรง แต่วิธีนี้มีความชัดเจนน้อยกว่าทำให้ยากต่อการตรวจจับและป้องกัน
เพื่อหลีกเลี่ยงการตรวจจับ Andariel ยังส่งออกและสำรองการตั้งค่ารีจิสทรีที่แก้ไขแล้วลบบัญชี Rogue และกู้คืนในภายหลังจากการสำรองข้อมูลเมื่อจำเป็นต้องผ่านการบันทึกระบบและการตรวจจับยิ่งยากขึ้น
เพื่อลดความเสี่ยงในการกำจัดการจี้ผู้ดูแลระบบควรใช้มาตรการเชิงรุกเช่น:
- ใช้บริการระบบย่อย Security Authority (LSA) ท้องถิ่นเพื่อตรวจสอบความพยายามในการเข้าสู่ระบบและการเปลี่ยนแปลงรหัสผ่านที่ผิดปกติ
- ป้องกันการเข้าถึง SAM Registry โดยไม่ได้รับอนุญาต
- การ จำกัด การใช้เครื่องมือเช่น PSExec และ Juicypotato
- ปิดการใช้งานบัญชีแขก
- การบังคับใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้ทั้งหมดรวมถึงบัญชีที่มีอำนาจต่ำ
